Ir directamente al contenido
Mi Lowi

Glosario

Términos complejos explicados de forma Simple, a lo Lowi.

Volver al listado completo

Autenticación

¿Alguna vez te has parado a pensar cuántas veces al día le demuestras a una máquina que eres tú? Desde que desbloqueas el móvil por la mañana con tu cara o tu huella, hasta que entras en la app del banco o revisas tu correo. Todo eso es, en esencia, autenticación.

En el mundo digital, donde no podemos vernos las caras físicamente, la seguridad es clave. Por eso queremos explicarte este concepto, para que entiendas cómo protegemos (y cómo tú puedes proteger) tu vida digital.

¿Qué es la autenticación?

Empecemos por el significado de este concepto, ¿qué es la autenticación? Es el proceso de verificar la identidad de un usuario, dispositivo o sistema, es decir, la forma en la que un ordenador, una aplicación o una red se asegura de que «quien dice ser» es realmente «quien es».

La autenticación permite confirmar la identidad y autorizar el acceso a recursos o información. Esto se logra presentando credenciales, que pueden ser algo que sabes (como una contraseña), algo que tienes (como un token o teléfono), o algo que eres (como tu huella dactilar o rostro).

Si no hay autenticación, cualquiera podría hacerse pasar por ti. En el entorno digital, esto no se hace enseñando el DNI a una cámara (bueno, a veces sí), sino mediante credenciales.

¿Qué es el proceso de autenticación y cómo funciona?

Aunque para ti sea algo de un segundo (poner el dedo en el lector de huellas o escribir una contraseña), detrás de ese gesto hay un intercambio de información muy ordenado entre tu dispositivo y el servidor.

El proceso funciona casi siempre bajo un esquema de «Desafío y Respuesta». Aquí te explicamos paso a paso cómo ocurre:

  1. Solicitud de acceso: El usuario (tú) intenta entrar en un servicio, por ejemplo, tu área de cliente de Lowi o tu correo electrónico.
  2. Identificación: Introduces tu nombre de usuario, correo o número de teléfono. Aquí solo estás diciendo quién eres.
  3. El desafío: El sistema te dice: «Vale, dices que eres Pepito, pero demuéstramelo». Aquí es donde te pide la prueba. Puede ser una contraseña, un código SMS o tu huella dactilar.
  4. La respuesta: Tú proporcionas esa prueba.
  5. Verificación: El sistema compara lo que tú has introducido con lo que tiene guardado en su base de datos segura. ¿La contraseña coincide? ¿La huella es idéntica?
  6. Resultado:
    1. Éxito: Si todo coincide, el sistema te da luz verde y te deja pasar.
    2. Fallo: Si no coincide, te rechaza y te pide que lo intentes de nuevo.

Es fundamental entender que este proceso es la primera línea de defensa de tu seguridad en internet. Sin una buena autenticación, no hay privacidad posible.

¿Qué es la autenticación en dos pasos?

Seguramente has oído hablar mucho de esto últimamente, y con razón. Las contraseñas, por sí solas, a veces se quedan cortas. Aquí es donde entra la autenticación en dos pasos, también conocida como: 2FA (Two-Factor Authentication).

¿Qué es la autenticación en dos pasos? Es un sistema de seguridad que requiere dos formas distintas de identificación para dejarte entrar.

Es como si para abrir una caja fuerte necesitaras la combinación numérica y además una llave física. Si un ladrón te roba la llave, pero no sabe el número, no entra. Y viceversa.

Normalmente, el 2FA combina:

  1. Algo que sabes: Tu contraseña.
  2. Algo que tienes: Tu teléfono móvil (donde recibes un código).

Si quieres profundizar en cómo configurar esto en tu dispositivo electrónico, te recomendamos echar un vistazo a nuestra guía sobre cómo activar o desactivar la autenticación doble. Es una de las barreras más efectivas que existen hoy en día contra el robo de cuentas.

Diferencias entre autenticación y autorización

Es muy común confundir estos dos términos porque se parecen mucho y suelen ir de la mano, pero no son lo mismo.

Para que no te líes, vamos a separarlos claramente:

  1. Autenticación (Authentication): Responde a la pregunta «¿Quién eres?».
    • Es el proceso de verificar tu identidad.
    • Ejemplo: Poner tu usuario y contraseña para entrar en una web.
  2. Autorización (Authorization): Responde a la pregunta "¿Qué puedes hacer?" o "¿A dónde puedes entrar?".
    • Ocurre después de la autenticación. Determina tus permisos.
    • Ejemplo: Una vez que has entrado en la web de tu empresa, ¿puedes ver las nóminas de todos o solo la tuya?

Veamos este ejemplo, piensa en un hospital:

  • Autenticación: El personal médico ingresa su usuario y contraseña en el sistema del hospital para acceder a la plataforma de pacientes. Esto confirma su identidad.
  • Autorización: Dependiendo de su rol, un doctor puede ver y editar los historiales médicos de sus pacientes, mientras que una enfermera solo puede registrar signos vitales o consultar información básica.

Como ves, primero te autenticas (entras) y luego el sistema te autoriza.

Métodos de autenticación

No todas las llaves son iguales. Hoy en día existen muchas formas de demostrar quiénes somos en internet. Algunas son clásicas y otras parecen sacadas de una película de ciencia ficción.

Vamos a ver los principales métodos, clasificados por factores, es decir, en qué se basan para reconocerte.

  1. Basada en conocimiento (Lo que sabes): Es el método más tradicional y el que llevamos usando décadas. El sistema te pide algo que, en teoría, solo tú conoces.
    • Contraseñas: La clásica palabra o frase secreta. Su mayor problema es que a menudo las elegimos demasiado sencillas («123456» sigue siendo la reina, por desgracia) o las repetimos en todos sitios.
    • Código PIN (Personal Identification Number): Un código numérico, generalmente de 4 o 6 cifras. Es muy común en tarjetas bancarias o para desbloquear la tarjeta SIM del móvil.
    • Preguntas de seguridad: Las típicas preguntas de «¿Cómo se llamaba tu primera mascota?». Son cada vez menos seguras porque esa información suele ser fácil de averiguar en redes sociales.
  2. Basada en posesión (Lo que tienes): Aquí la seguridad no depende de tu memoria, sino de un objeto físico o digital que posees. Si tienes el objeto, entras.
    • Tokens físicos: Pequeños dispositivos (como un llavero) que generan códigos numéricos que cambian cada minuto.
    • Códigos TOTP: Son contraseñas de un solo uso basadas en el tiempo. Se generan en una aplicación en tu móvil.
    • Llaves de seguridad (Security Keys): Son como pequeños pendrives (USB) que se conectan al ordenador. Si la llave no está enchufada, la cuenta no se abre. Es uno de los métodos más seguros que existen.
    • El móvil (SMS): Recibir un código por mensaje de texto. Es muy común, aunque hablaremos de sus matices.
  3. Autenticación biométrica: qué es (Lo que eres): Aquí tú eres la llave. Se analizan rasgos físicos únicos de tu cuerpo.
    • ¿Qué es la autenticación biométrica? Es la verificación de identidad basada en características biológicas. Es muy cómoda porque no puedes olvidar tu dedo o tu cara en casa.
    • Tipos principales:
      • Huella dactilar: El clásico lector del móvil. Rápido y fiable.
      • Reconocimiento facial: El móvil hace un mapa 3D de tu cara.
      • Reconocimiento de voz: Analiza las ondas y el tono de tu voz al hablar.
      • Iris/Retina: Escanea el patrón único de tus ojos (más propio de alta seguridad).
  4. Llaves/certificados y estándares (FIDO/WebAuthn): Esto suena muy técnico, pero es el futuro (y el presente) de un internet sin contraseñas.
    • Se trata de protocolos que permiten que tu dispositivo (móvil u ordenador) hable directamente con el servicio (la web) usando criptografía, sin que tú tengas que escribir ninguna clave. Es lo que hay detrás de las famosas «Passkeys» que están empezando a usar Google, Apple y Microsoft.
  5. Contextual/adaptativa (Riesgo, ubicación, dispositivo): A veces, el sistema es listo y analiza el contexto.
    • Si siempre te conectas desde Madrid con tu iPhone y de repente alguien intenta entrar desde Pekín con un PC con Windows, el sistema sospecha.
    • En ese caso, te pedirá una prueba extra (como un código al móvil). Si el contexto es el habitual, te deja pasar sin molestar. Esto mejora mucho la experiencia de usuario.
  6. Multifactor (MFA) vs. 2FA: cuándo usar cada uno:
    • 2FA (Dos factores): Usa dos métodos (ej.: contraseña + SMS).
    • MFA (Multifactor): Usa dos o más métodos. Todo 2FA es un MFA, pero el MFA puede ser más complejo (Contraseña + Huella + Ubicación GPS).

    Para el usuario medio, el 2FA es suficiente. Para empresas con datos muy sensibles, se suele usar MFA más robusto.

  7. Aplicaciones de autenticación: Son apps que instalas en el móvil y generan códigos temporales (esos que caducan a los 30 segundos) para hacer el doble factor, en lugar de esperar un SMS. Son más seguras que los mensajes de texto porque no dependen de la cobertura móvil ni pueden ser interceptados tan fácilmente.
    • Google Authenticator: La más conocida, simple y efectiva.
    • Microsoft Authenticator: Ideal si usas el entorno Windows/Office, además permite copias de seguridad en la nube.
    • Authy: Muy popular porque permite tener los códigos en varios dispositivos a la vez (móvil y tablet, por ejemplo).

Ejemplos de autenticación digital

Para aterrizar todo esto, veamos situaciones del día a día donde la autenticación es la protagonista, a veces sin que te des cuenta.

Cotidianos:

  • Banca Online: Aquí la seguridad es máxima. Para entrar, usas tu huella o contraseña. Pero para hacer una transferencia (autorización de una operación sensible), el banco te pide una segunda firma o te envía un código al móvil. Eso es autenticación reforzada.
  • Correo electrónico: Cuando inicias sesión en Gmail o Outlook en un ordenador nuevo y te llega una notificación al móvil preguntando «¿Eres tú?».
  • E-commerce: Cuando compras online y tu banco te pide confirmar el pago en su app para evitar que alguien use tu tarjeta robada.
  • Redes Sociales: Cuando Instagram te avisa de un inicio de sesión sospechoso y te obliga a cambiar la contraseña.

Dispositivos:

  • Desbloqueo de móvil/PC: Lo hacemos cientos de veces al día. Poner el dedo en el sensor, mirar a la cámara (FaceID) o dibujar un patrón.
  • Smart Home: Hablarle a tu altavoz inteligente. Algunos reconocen tu voz específica para darte tu agenda personal y no la de tu pareja. Eso es biometría de voz.

Empresa y nube:

  • SSO (Single Sign-On): ¿Te has fijado que en muchas webs puedes pulsar «Entrar con Google» o «Entrar con Facebook» en lugar de crear una cuenta nueva? Eso es el inicio de sesión único. Una sola llave maestra te abre muchas puertas. Es cómodo, pero hay que proteger mucho esa cuenta principal.
  • Federación de identidades: Permite que uses tu usuario de la empresa para acceder a herramientas externas (como Slack o Zoom) sin tener que registrarte en cada una.

A veces pensamos que «a mí nadie me va a querer robar la cuenta», pero la realidad es que los ataques son automáticos. Los ciberdelincuentes usan programas que prueban miles de contraseñas por segundo.

Para estar al día de cómo blindar tu vida digital, no dejes de leer nuestros consejos sobre cómo puedes proteger tu móvil gracias a las últimas novedades en seguridad informática.

Estamos para ayudarte

Llámanos al 900 927 973